Lignes directrices et principes gĂ©nĂ©raux de la Section du droit de la vie privĂ©e et de l’accès Ă l’information de l’Association du Barreau canadien concernant document d’orientation provisoire sur le traitement de donnĂ©es biomĂ©triques.
La Section du droit de la vie privĂ©e et de l’accès Ă l’information de l’Association du Barreau canadien a envoyĂ© une lettre (disponible uniquement en anglais; les citations qui en sont tirĂ©es sont des traductions) au Commissariat Ă la protection de la vie privĂ©e du Canada (CPVP) en rĂ©action Ă une consultation publique liĂ©e Ă la crĂ©ation d’un nouveau document d’orientation provisoire sur l’utilisation de technologies biomĂ©triques. L’objectif est de fournir des renseignements sur les obligations, considĂ©rations et pratiques exemplaires en matière de protection de la vie privĂ©e lors du traitement de donnĂ©es biomĂ©triques.
La première considĂ©ration concerne une garantie que l’utilisation des donnĂ©es biomĂ©triques est rĂ©servĂ©e aux cas oĂą il est appropriĂ© et objectif de le faire. « Le cadre exposĂ© dans l’Ă©bauche du document d’orientation, Ă la suite de l’affaire Turner c. Telus, est exhaustif, cohĂ©rent et rĂ©alisable », affirme la section dans la lettre.
Compte tenu de l’Ă©volution attendue de ces technologies, il serait peu judicieux d’y intĂ©grer des interdictions catĂ©goriques, hormis l’utilisation de donnĂ©es biomĂ©triques constituant un manquement Ă une autre loi. « Le document d’orientation dĂ©finitif du CPVP devrait inclure un Ă©noncĂ© sans Ă©quivoque qui stipule la possibilitĂ© que le traitement de donnĂ©es biomĂ©triques exige le respect d’autres lois au moment de dĂ©cider si cette utilisation est appropriĂ©e ou non. »
Certaines situations requièrent l’utilisation de donnĂ©es biomĂ©triques ou de systèmes multimodaux recourant Ă deux attributs biomĂ©triques ou plus. « Les organisations devraient ĂŞtre exhortĂ©es Ă limiter le nombre d’attributs biomĂ©triques qu’elles recueillent, dit-on dans la lettre, mais la question Ă savoir si l’utilisation d’un système multimodal va trop loin dans la collecte de donnĂ©es dĂ©pendra du contexte ».
Étant donnĂ© le caractère dĂ©licat des donnĂ©es recueillies, il est particulièrement important que des garanties soient mises en place. La section de l’ABC recommande des mĂ©thodes de dĂ©tection de fraude qui n’identifient pas directement des personnes. « L’approche Ă adopter par rapport aux garanties changera constamment, Ă mesure que les technologies Ă©volueront, et les recommandations devraient reflĂ©ter cette rĂ©alitĂ©. »
La plupart des organisations ont recours Ă des services de tiers pour gĂ©rer leurs donnĂ©es biomĂ©triques. « Le document d’orientation considère comme acquis que les organisations ont le contrĂ´le de la conception des technologies, ce qui n’est gĂ©nĂ©ralement pas le cas », souligne la section. Plusieurs de ces tiers sont Ă©tablis aux États-Unis ou dans l’Union europĂ©enne. En gardant cela Ă l’esprit, le document d’orientation devrait « s’abstenir d’adopter une mĂ©thode prescriptive, accordant aux organisations (et aux fournisseurs de services tiers) la flexibilitĂ© d’Ă©valuer les circonstances et de dĂ©terminer les meilleures mesures Ă mettre en Ĺ“uvre pour chacune de leurs initiatives biomĂ©triques ».
Chaque organisation doit ĂŞtre dotĂ©e d’un solide plan de responsabilisation. La section de l’ABC recommande de se fier aux principes de base Ă©tablis Ă l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents Ă©lectroniques. « Un tiers peut s’occuper du signalement de manquements tout en tenant compte du caractère privĂ© des renseignements des clients, fait remarquer la section. Cet aspect fait partie intĂ©grante de la protection des informations biomĂ©triques et de l’identitĂ© des clients ».